web-inf下的页面不能直接反问,必须通过servlet页面进行跳转,安全性高。
web-root下的页面能直接通过地址栏来访问,安全性低。
哪些页面放在web-root下,哪些放在web-inf下呢?
举个例子:普通用户和管理员两个身份
我们一般把公开的页面放在web-root下,比如首页,普通用户和管理员都能进行访问。
但因为管理员是具有权限(比如:修改数据内容,增加删除数据等)的一个身份,而普通用户没有权限。
所以把只有管理员身份才能操作的页面放入到web-inf下,这样普通用户就不能直接访问此页面进行操作,保证了页面的安全性。